Hlavní navigace

Postřehy z bezpečnosti: neotřelá metoda sledování uživatelů na webu

18. 7. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle se podíváme na krádež kryptoměn na známé burze, zajímavou metodu sledování uživatelů a také to, že aplikace v Google Play s miliony staženími může být malware.

Krádež Etherea za téměř osm milionů dolarů

Uniswap, což je populární decentralizovaná burza kryptoměn, v úterý oznámila, že někteří uživatelé přišli o Ethereum v přepočtu za téměř osm milionů amerických dolarů. Původní hypotéza příčiny útoku byla zranitelnost v protokolu, kterou útočníci využili ke krádeži kryptoměn. Avšak později se ukázalo, že tomu tak nebylo, a že se jednalo o phishingový útok, pomocí kterého útočníci ukradli obětem více než sedm tisíc pět set ETH.

Phishingový útok lákal uživatele na UNI tokeny zdarma a uživatelé byli následně přesměrováni na webové rozhraní připravené útočníky. V tomto rozhraní byla vygenerována transakce „setApprovalForAll“, která umožnila útočníkům převést všechny kryptoměny v peněžence oběti. Výzkumníci ze společnosti Check Point zveřejnili článek, ve kterém popisují techniky využívané při tomto útoku.

Odhalení anonymních uživatelů ve většině webových prohlížečů

Výzkumníci z New Jersey Institute of Technology přišli s novou metodou, jak odhalit identitu uživatelů přes webové stránky. Konkrétní informace, které je metoda schopna odhalit, zahrnuje e-mailovou adresu a jména účtů na známých sociálních sítích a službách.

Tato metoda využívá nepřímou komunikaci vůči těmto známým službám, kdy uživatel, který je přihlášen ke konkrétní platformě, zároveň přistoupí na škodlivou stránku. Pokud má útočník možnost sdílet obsah s uživatelem na této platformě, vytvoří si seznam uživatelů, kterým povolí přistup k datům a přes škodlivé stránky na tyto odkazuje. Díky informaci o užití CPU cache prohlížeče pak útočník dokáže identifikovat uživatele s povoleným přístupem.

Vzhledem k tomu, že neomezené sledovaní uživatelů je jedním z cílů marketingových společností, vládních institucí i samotných hackerů, je tato metoda dalším možným a velice nenápadným způsobem, jak toho docílit, i když tyto útoky musí být cílené s alespoň základní znalostí uživatele.

Mantis – botnet, který již spustil více než tři tisíce útoků

V minulém měsíci společnost Cloudflare oznámila, že zaznamenala a zastavila HTTPS DDoS útok, jehož velikost dosáhla v jednu chvíli téměř 26 milionů požadavků za vteřinu. Tento a tisíce dalších DDoS útoků mělo stejný zdroj, a to právě botnet, který byl nazvaný Mantis.

Od té doby se zjistilo, že tento botnet provedl za měsíc již více než tři tisíce HTTPS DDoS útoků proti jejich zákazníkům. Tento botnet je také specifický tím, že nečítá statisíce kompromitovaných zařízení, ze kterých tyto útoky odesílá, ale čítá pouze o něco více než pět tisíc takových systémů. V průměru tedy každý kompromitovaný systém v botnetu dokáže odeslat až pět tisíc dvě stě HTTPS požadavků za vteřinu.

Notebooky Lenovo mají problém s buffer overflow v UEFI

Více než sedmdesát modelů značky Lenovo je postiženo třemi zranitelnostmi v UEFI firmware, které jsou hodnoceny závažností medium. Konkrétně se jedná o CVE-2022–1890, CVE-2022–1891, a CVE-2022–1892.

Výzkumníci společnosti Eset, kteří na zranitelnost upozornili, označili za problém nedostatečnou validaci DataSize parametru, který se dále posílal do UEFI Runtime Service funkce GetVariable. Za pomoci speciálně vytvořené proměnné by pak mohl útočník způsobit buffer overflow útok v této funkci.

Nebezpečnost útoků a malware směrovaných na UEFI firmware tkví v tom, že jsou spuštěny před ochrannými mechanismy operačního systému, tudíž mohou být velice nenápadné a navíc si tím zajišťují perzistenci i v případě přeinstalování operačního systému jako takového.

Přes tři miliony stažených aplikací s malware v Google Play

Na platformě Google Play Store se objevila nová rodina malwarů, které přihlašují své oběti k placeným prémiovým službám. Obětem je schopna číst i SMS zprávy a vytáhnout z nich nemalé peníze. Malware s názvem Autolycos, maskující se za různé nástroje pro úpravu fotografií a UI, byl nalezen v minimálně osmi aplikacích.

Malware se podařilo objevit bezpečnostnímu výzkumníkovi Maxime Ingrao ze společnosti Evina a nahlásil jej už v červnu 2021. Googlu poté trvalo půl roku, než šest z nich z obchodu odebral. Zbylé dvě byly ještě do nedávna volně dostupné, ale to nevylučuje existenci dalších takovýchto aplikací.

root_podpora

Autolycos se podobá jinému známému malwaru Joker. Vykonává škodlivé činnosti, jako například spouštění URL adres, a výsledek posílá přes HTTP request, a právě to ho odlišuje od Jokera, který pro stejnou úlohu používal Webview. Aplikace se tak chová méně nápadně a oběť si tak nemusí ničeho všimnout. Kromě toho byly spuštěny reklamní kampaně, aby se malware podařilo co nejvíce rozšířit. Je tedy pochopitelné, že na Google Play měly tyto aplikace mnoho záporných hodnocení, ale u některých aplikací s méně staženími hodnocení uměle zvyšovali boti.

Ve zkratce

Pro Pobavení

Bug, feature or both?

Autor: Harvey Green

Byl pro vás článek přínosný?

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.